Im Zeitalter der Digitalisierung und Vernetzung steigt die Komplexität der Cyberbedrohungen kontinuierlich an. Während meist von externen Angreifern die Rede ist, zeigt ein aktueller Vorfall eine beunruhigende Wendung: Hacker, die andere Hacker angreifen. Dies ist das erschreckende Szenario hinter der Verbreitung des gefälschten Trojaners Sakura RAT auf der beliebten Entwicklerplattform GitHub. Eine Aktion, die zeigt, wie ausgefeilt und vielschichtig heutige Cyberangriffe geworden sind. Sophos-Analysten entdeckten jüngst eine Kampagne, bei der ein bösartiger Akteur gezielt andere Hacker, Gamer und Sicherheitsexperten ins Visier nimmt, indem er schädliche Software als vermeintlich nützliche Tools präsentiert.
Dabei nutzt er unter anderem Exploits, Cheats für Spiele und Malware, die versteckte Backdoors enthalten und somit Fernzugriff auf infizierte Systeme ermöglichen. Der Kern der Strategie liegt darin, die Neugier und das Vertrauen von technisch versierten Nutzergruppen auf eine Probe zu stellen und sie zur unbeabsichtigten Kompromittierung ihrer eigenen Computer zu bewegen. Das vermeintliche Programm Sakura RAT, ein Remote Access Trojaner, wurde frei auf GitHub zum Download angeboten. Auf den ersten Blick scheint der Trojaner funktionsunfähig zu sein, doch die tatsächliche Gefahr verbirgt sich in einem PreBuildEvent, der in einem Visual Studio Projekt hinterlegt ist. Dieser Mechanismus führt beim Kompilieren des Codes automatisch dazu, dass schädliche Software ohne Wissen des Entwicklers heruntergeladen und installiert wird.
Eine raffinierte Methode, um die Schadsoftware unter dem Deckmantel eines harmlosen Open-Source-Projekts zu verbreiten. Das „Gesicht“ hinter Sakura RAT ist ein Nutzer mit dem Alias ischhfd83, der mit einer Vielzahl von GitHub-Repositorien verbunden ist. Insgesamt 141 verschiedene Projekte lassen sich ihm oder seinem Netzwerk zuordnen, von denen 133 versteckte Backdoors beinhalteten. Auffällig ist die Automatisierung der Aktivitäten: Viele Repositories weisen eine hohe Anzahl von automatisierten Commits auf, was eine anhaltende Aktivität und somit scheinbare Legitimität vortäuscht. Das größte Repository verzeichnete so beinahe 60.
000 Commits innerhalb weniger Monate. Die manipulative Kampagne ist weitreichend und technisch ausgefeilt. Sie umfasst Python-Skripte mit obfuskiertem Schadcode, schädliche Bildschirmschoner-Dateien mit Unicode-Namen, JavaScript-Dateien mit versteckten Payloads, sowie PreBuildEvents in Visual Studio-Projekten. Die Schadsoftware infiltriert betroffene Systeme über mehrstufige Attacken, welche das Ausführen von VBS-Skripten, PowerShell-Kommandos und das Herunterladen verschlüsselter Pakete mithilfe von 7zip involvieren. Ein zwischengeschaltetes Electron-basiertes Programm namens SearchFilter.
exe ist Teil der Schadfunktionalität, welche Systemprofile erstellt, Windows Defender deaktiviert und letztendlich weitere schädliche Komponenten ausführt. Unter den geladenen schädlichen Programmen finden sich verschiedene Remote-Access-Trojaner wie Lumma, AsyncRAT und Remcos. Diese bieten den Angreifern umfassende Kontrolle und ermöglichen die gezielte Datenexfiltration. Bemerkenswert ist, dass sich die Kampagne nicht nur gegen unerfahrene Nutzer richtet, sondern gezielt professionelle Hacker, Cybersecurity-Experten und Gamer attackiert. Um diese Zielgruppen anzulocken, wurden Cheats, Modding-Tools und vermeintliche Exploits als Lockmittel bereitgestellt.
Der Angriff verdeutlicht, welche Risiken selbst für technisch versierte Nutzer bestehen, wenn sie auf vermeintlich offene und nützliche Softwarequellen vertrauen. Die Verbreitung auf GitHub, einer Plattform, die als sicher und verlässlich gilt, zeigt, wie wichtig eine gesunde Skepsis und eine strenge Prüfung von externem Code geworden sind. Für Unternehmen und Einzelpersonen gleichermaßen ist es entscheidend, bei der Nutzung von Open-Source-Software die Herkunft genau zu prüfen und auf verdächtige Aktivitäten in Repositories zu achten. Darüber hinaus schlägt der Fall Sakura RAT eine Brücke zur ständig wachsenden Bedeutung von Automatisierung in der Cyberkriminalität. Die automatischen Commits und Updates täuschen Aktivität vor und verleihen den Projekten ein scheinbar legitimes Erscheinungsbild.
Dies erschwert die Erkennung und Analyse durch Sicherheitsforscher und Nutzer. Der Traffic, der zu den schädlichen Repositorien führt, wird gezielt über soziale Medien und Hackerforen generiert. Plattformen wie YouTube, Discord und spezialisierte Communities spielen dabei eine große Rolle als Verbreitungswege und Informationsquellen. Indem die Kampagne Nachrichten, Videos und Berichte über die angebliche Malware verbreitet, wird ein Starkes Interesse geweckt und der Traffic auf die bösartigen Projekte gelenkt. In der Konsequenz dieser Attacke steht ein dringender Appell an die IT-Sicherheitscommunity.
Neben technischer Vorsicht ist eine verstärkte Sensibilisierung und Zusammenarbeit im Bereich der Bedrohungserkennung erforderlich. Auch Entwickler sollten ihre Projekte und die von ihnen verwendeten Bibliotheken besonders gründlich prüfen. Die Kampagne erinnert eindrucksvoll daran, dass der vermeintliche Schutzraum der Entwicklerplattformen und Open-Source-Communities keine absolute Sicherheit garantiert. Insgesamt ist die Verbreitung von Sakura RAT über GitHub ein Musterbeispiel für moderne Cyberangriffe, die auf Täuschung, Automatisierung und das Ausnutzen von Vertrauen setzen. Hacker richten ihre Angriffe gezielt gegen Gleichgesinnte und Experten und zeigen damit, wie komplex und bedrohlich die aktuelle Lage im Cyberraum ist.
Aufmerksamkeit, Wachsamkeit und kontinuierliche Sicherheitsmaßnahmen bleiben unerlässlich, um solche Bedrohungen frühzeitig zu erkennen und abzuwehren. Die digitale Welt entwickelt sich ständig weiter, ebenso wie die Methoden der Cyberkriminellen. Für Nutzer, Entwickler und Firmen gilt es, den Schaden zu minimieren, indem sie sich umfassend informieren, die neusten Sicherheitsempfehlungen umsetzen und stets wachsam bleiben gegenüber vermeintlich harmlosen Programmen und Tools. Nur so kann der digitale Raum sicherer gestaltet und die Ausbreitung bösartiger Software wie des gefälschten Sakura RAT nachhaltig eingeschränkt werden.
